邮件服务器和Web服务器是直接接电信的网关设备,还是让邮件服务器和Web服务器先接交换机,通过路由器再连接电信的网关设备?

tangyong_delphi 2011-01-17 10:52:31
邮件服务器和Web服务器是直接接电信的网关设备,还是让邮件服务器和Web服务器先接交换机,通过路由器再连接电信的网关设备?
电信提供了5个公网IP地址。网关设备有多个接口。
...全文
155 7 打赏 收藏 转发到动态 举报
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
jys_34 2011-03-04
  • 打赏
  • 举报
 回复
接防火墙后,再接入公网比较安全。
zhangyisc 2011-02-15
  • 打赏
  • 举报
 回复
接防火墙后,再接入公网比较安全。
tangyong_delphi 2011-01-21
  • 打赏
  • 举报
 回复
请各位高手多多指点!
warlord 2011-01-18
  • 打赏
  • 举报
 回复
邮件服务器和Web服务器 还有不考虑安全性的??
两个服务器前面的路由器或防火墙是必须的.
addseconder 2011-01-18
  • 打赏
  • 举报
 回复
最好不要直接连
bacy001 2011-01-17
  • 打赏
  • 举报
 回复
如果不考虑安全性,且有公网IP,那么直接接到网关设备上就好了!

正常来说应该是有个防火墙接电信的网关设备,因为有公网地址,防火墙工作在透明模式,服务器通过交换机或者直接连在防火墙上!
网络规划设计方案.doc
目录 第1节 校园网络总体设计概述 3 第2节 网络需求分析 5 2.1网络基本情况 5 2.2网络建设任务与性能要求 6 第3节 选择核心网络设备 6 3.1设计方案说明 6 3.2选择核心层交换机 7 第4节 校园网络拓扑结构图设计 8 4.1总体设计原则与设备方法 8 4.2各区网络拓扑结构图 9 4.2.1 A区网络拓扑图 9 4.2.2 B区网络拓扑图 9 4.2.3 C区网络拓扑图 10 第5节 配置命令 11 5.1 A校区配置命令 11 5.1.1核心层交换机的配置 11 5.1.2汇聚层交换机的配置 12 5.1.3防火墙ACL规则配置与应用 12 5.1.4边界路由的配置 14 5.1.5服务器交换机的配置 15 5.2 B校区的配置命令 16 5.2.1核心层交换机的配置(配置命令同A区的) 16 5.2.2汇聚层交换机的配置(配置命令同A区的) 16 5.3 C校区的配置命令 16 5.3.1核心层交换机的配置 16 5.3.2防火墙的配置 17 5.3.3边界路由的配置 17 5.3.4汇聚层交换机配置 18 第6节 地址规划 19 6.1 A校区地址规划 19 6.2 B校区地址规划 20 6.3 C校区地址规划 21 6.4 校园网段地址规划 21 第7节 公网地址使用规划 23 7.1 Chinanat公网地址使用规划 23 7.2 Cernet共网地址使用规划 24 第8节 收获及体会 24 第1节 校园网络总体设计概述 校园网络是非常典型的综合网络实例。为了阐明主要问题,在本设计方案中对实际 校园网的设计进行了适当的和必要的简化。同时,将重点放在网络的主干的设计上,主 要是针对一些设备的配置步骤、配置命令、排查故障以及诊断命令和方法。其中包括三 层加换机、路由器的配置,路由的添加,静态和动态路由的配置,还有NAT转换等,另外 对于服务器的架设只作简单介绍,并且该试验中的防火墙全部有路由器来替代和配置。 还有本设计全部是用思科设备来模拟实验的,并且是在思科模拟器上完成的,一些线路 都采取简化的手段,具体内容参考有关参考书。 在下面的拓扑图中,该校园有三个校区,称为A区、B区和C区。对于每个区域之 间而言,都是通过cisco3560- 24核心交换机互联的,在每个区域中,每个楼层是由cisco3560- 24汇聚层交换机核心层交换机,在汇聚层交换机上有两个2950T- 24入层交换机,最后在每个入层交换机一个主机。 如下为校园网络的总体拓扑图: 第2节 网络需求分析 2.1网络基本情况 某高校有3个校区,称为A区、B区、C区。A区和C区规模较大,B区规模较小。A区与B区 光纤线路长度在30km左右,租用裸纤(指仅租用光纤线路,不租用两端的网络设备) 专线实现这两个校区间的互联。A区与C区相距较远,约60km,因此不能采用光纤专线 ,而采用MPLS VPN实现A区与C区的互联。 A区和C区各设置一个中心机房,但已A区为主。A区和C区的主要应用服务器放在各自校 区的中心机房中,但校区间也你能互访这些服务器。 A区的服务器主要有Web服务器邮件服务器、教务管理服务器、视频点播服务器、DN S服务器等 共计约10多台服务器Web服务器邮件服务器要求同时电信ChinaNET网和教育网 (Cernet)。 C区的服务器主要有教务管理服务器、电影服务器等。 A区使用的公网地址段为61.186.202.32,子网掩码为255.255.255.224,共32个IP地址 ;网关地址为61.186.202.33,子网掩码为255.255.255.252。 A区的教育网地址段为219.221.55.0/24,共256个IP地址;网关地址为219.221.55.1, 子网掩码为255.255.255.252。 C区实用的公网地址段为222.117.150.128,子网掩码为255.255.255.224,共32个IP地 址;网关地址为222.177.150.129,子网掩码为255.255.255.252。 2.2网络建设任务与性能要求 先要求组建这3个校园网络,事先3个校区间互联互通,并能访问因特网。网络要易于 扩展和维护、性能和可靠性高、安全性好。 要求校园网采用万兆核心、千兆主干、百兆交换到桌面。A区与B区采用千兆光纤链路 互联,A区与C区采用100Mb/s MOLS VPN实现互联。 A区因特网出口设置2条,一条电信ChinaNET网,采用100Mb/s光纤专线入;另一 条入教育科研网(Cernet),采用10Mb/s光纤专线入。整个校园用户(3个校区) 访问教育网资源时通过教育网出口访问。 C区设置一条因特网出口,采用100Mb/s光纤专线通过当地电信入因特网。C校区
某公司网络安全方案.doc
题目:某公司网络安全方案 随着网络技术的不断发展,网络应用已经遍布各行各业,网络系统的安全问题显得 越来越重要。由此看来,网络安全已经成为网络管理员在网络构建、网络升级与网络日 常管理中的头等大事。 建设一个安全、稳定、先进的网络环境及数据应用备份与容灾方案已经迫在眉睫了。 本方案提供一个合适的、专业的安全建设方案。 下面将分为网络、数据.....等几个方面进行描述。 网络部分 采用双运营商入,初步计划电信与移动。采用双运营商线路入后,内部访问外网 、外网访问内网,都要实现智能DNS 。非授权用户入无线后只能访问INTERNET,不能访问公司内部网络。 采用MPLS专线,核心机房为20M,其余各节点为2M,并且采用internet入公司 业务并提供数据备份。 将来公司所有业务系统,在非办公区都必须通过VPN后才可访问,各业务通过MP LS专线访问公司内部系统。 防火墙要支持数据包性质进行过滤,支持目标IP、源IP地址、协议类型、源与目TC P/UDP端口、NAT、双重DNS。采用两台防火墙,实现热备,其中一台出现故障可自动进行 切换,配置可同步。 网络流量管理,实现可以对源IP、IP段、目标IP、应用类型进行有效的带宽控制; 可保障关键业务、关键人员有效带宽,实时监控流量应用分布。 制定统一的互联网入点、外联网入点的技术标准与管理规范,统一约定网络边 界入点的网络结构、保证内部网络与外部网络之间的安全隔离。 制定统一的远程移动办公技术标准,保证远程移动办公入的安全性。 制定统一的网络安全系统建设标准包括防火墙、网络层加密等。 数据部分 对重要文档进行加密。实现重要数据外发需审批,审批流程要便捷!即保证安全又 保证工作效率。 服务器管理员对服务器的任何操作可监控、可审计,做到事后可查,有据可依。 1 应用安全建设 应用安全机制在应用层为业务系统提供的安全保护,能够满足身份认证、用户 授权与访问控制、数据安全传输等安全需求。 制定统一的身份认证、授权与访问控制、应用层通信加密等应用层安全系统的建设 标准. 2 数据备份管理 系统与数据备份是重要的安全保障机制,为了保障业务数据的安全性,降低突发意 外事件所带来的安全风险,制定统一的系统与数据备份标准与规范,采取先进的数据备 份技术,保证业务数据与系统软件的安全性。 3 突出安全保障 信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、安全审计 等安全保障机制,保障业务的持续性与数据的安全性。信息安全体系建立的原则:标准 性原则、整体性原则、实用性原则、先进性原则 信息安全策略 总体策略划分为物理安全、网络安全、身份认证、应用授权与访问控制、数据加密 、数据备份等若干方面进行阐述。 注重web应用方面的防护体系建设;注重服务器及应用系统的的保护工作,设计备 份机房,作为应用系统的备用系统及备份数据所在地,结合各种安全技术,分网络部分 、数据及应用部分。 对局域网的应用系统、服务器与网络设备的故障监测,对应用系统、网络设备、服 务器、数据库、电子邮件WEB系统、DNS系统、FTP系统等进行全面深入的监测管理。例 如网络的连通性(Ping)及其网络设备交换机路由器、防火墙)的状态,如口状态 、口流量、口丢包率、路由器的CPU负载等。 4 详细的审计体系 计算机网络安全审计主要包括对操作系统、数据库、Web邮件系统、网络设备与防 火墙等项目的安全审计 。 严格的权限及行为管理控制 通过防火墙尽量收紧每个区的访问权限,对操作员的网络操作权限进行设置. 安全便捷的移动办公设计 VPN 架构中采用了多种安全机制,如身份认证技术、加解密技术、隧道技术等。 5 防火墙(WEB应用防火墙) 防火墙指的是一个由软件与硬件设备组合而成、在内部网与外部网之间、专用网与 公共网之间的界面上构造的保护屏障.它使Internet与Intranet之间建立起一个安全网关 ,从而保护内网免受非法用户的侵入。 可以在互联网出口处及服务器区出口处分别做防火墙阻隔来自互联网的非法访问。 将内部网络划分为几个不同的域,控制访问权限。 因为目前所学知识有限,暑假会继续完善。总的来说我是想做负载均衡与数据备份 ,防火墙,MPLS,VPN。。。的结合,做流量监控与跟踪,流量的分析之类的 ----------------------- 某公司网络安全方案全文共4页,当前为第1页。 某公司网络安全方案全文共4页,当前为第2页。 某公司网络安全方案全文共4页,当前为第3页。 某公司网络安全方案全文共4页,当前为第4页。
网上会展的未来发展趋势
网上会展的未来发展趋势 一、中国网上会展发展阶段 预计在未来十年内,中国网上会展将经历如下三个发展阶段: 第一阶段:以大型展览为依托网上会展兴起阶段。以中国业内最大规模的展览会为依托,充分利用 传统展览会的资源与作用。与展馆现场宣传相配合,可使网上会展会成为沟通厂商与买家的必不可少的桥梁。 第二阶段:网上会展大发展阶段。诸多网站开展网上会展业务,群雄并起,竞争激烈,出现行业、种类的专业化趋势,加速并推动电子商务的发展。 第三阶段:网上会展与传统展览并存竞争阶段。网上会展逐渐被人们所受,形成既相互融合,又相互竞争的竟合状态。预计到2010年,我国将有1/3的会展网站能够举办网上会展,将有2/3以上的大型传统实物展览同时举办网上会展,独立的网上会展数量与传统实物展览数量之比将达到1/4。 二、会展中的网络功能 会展中的网络应用归纳起来具有八大功能: 1、信息搜索功能 利用多种搜索方法获取有用的信息和商机,由单一向集群化、智能化的发展,以及向定向邮件搜索技术的延伸,寻找网上营销目标将成为一件易事。 2、信息发布功能 网络信息的扩散范围、停留时间、表现形式、延伸效果、公关能力、穿透能力都是最佳的。而且网上信息发布以后,可以能动地跟踪,并进行回复后的再交流和再沟通。 3、商情调查功能 通过在线调查或者电子询问调查表等方式,不仅可以省去大量的人力、物力,而且可以在线生成网上市场调研的分析报告,趋势分析图表和综合调查报告。 4、市场营销功能 传统经济时代的经济壁垒,地区封锁、人为屏障、交通阻隔、资金限制、语言障碍、信息封闭等,都阻挡不住网络信息的传播和扩散:文图并茂、声像惧显的昭示力,网上路演的亲和力,地毯式发布和爆炸式增长的覆盖力,整合为一种综合的信息进击能力。 5、品牌价值拓展功能 互联网推动和促进品牌的拓展和扩散,提升品牌的核心竞争力,打造品牌资产。 6、特色服务功能 FAQ(常见问题解答)、 BBS、聊天室等各种即时信息服务,在线收听、收视、订购、付款等选择性服务,无假日的服务和信息跟踪、信息定制到智能化的信息转移,网上选购,送货到家的上门服务等等,将极大提高顾客满意度。 7、顾客关系管理功能 通过客户关系管理,将客户资源管理、销售管理、市场管理、服务管理、决策管理于一体,将原本疏于管理、各自为战的销售、市场、售前和售后服务与业务统筹协调起来。 8、经济效益功能 企业参加网上会展,效率提高,成本下降,商业机会增多,原有信息量的价值实现增值,无形资产升值。 三、网络技术在现代会展中的具体应用 会展的网络应用指导思想:以用户为核心,提供更好、更个性化的服务;充分利用资源,用最少的资源,实现最大化的收益,各业务环节的增值管理;提高效率,降低成本。 1、利用网络技术为展馆服务 展馆内部采用局域网,统一入Internet,运行统一的OA、项目管理、流程管理软件。采用客户机/服务器数据库管理方式,进行展商与观众的管理与营销。建立网站开展客户关系管理的销售自动化,实行网上报名、网上服务订单、网上支付、观众登记和报价系统等。建立网络展商应答中心,开展网上营销。建立网站为展商提供个性化服务,如展出信息自行维护、展览顾问系统等。 展会前:网上会展门票远程预定、展会观众胸卡制作。 展会中:观众现场登记、个人信息显示、智能卡身份识别、现场人像制作、现场观众信息统计传输。 展会后:会展观众数据整理、会展观众详细统计分析、展会远程参观访问、展会现场摄像直播、大屏幕网屏等系列产品应用。 电子商务:展馆电子商务平台建设,展馆展示、服务介绍、展馆服务预定,展会发布、展会报道、展会统计分析,展览论坛、新闻中心。 系统集成:展馆内部系统集成建设,上网入、Internet web服务器运行、展馆信息数据服务器建立,展会网络建设、上网入。 系统管理:展馆内部信息化管理系统、展馆信息资源管理系统、展馆网络商务管理系统、展馆展会服务管理系统。 科技服务:网上观众登记、展会现场观众登记统计分析。 信息统计:展馆信息资源统计整理、商务活动运作安排、数据仓储建立。 作为基础性设施的网络平台的搭建自然是相当重要的,各种信息的快速传递均离不开高速的信息网络平台,现代会展中心在建设初期就必须将计算机网络工程规划在内。可靠、先进的信息网络系统是会展中心不可缺少的重要组成部分。根据会展中心网络的功能和用途,可以划分为管理者计算机网络、参展商计算机网络、公众计算机网络、数据中心及高速入网等五大网络。 2003年,建设规模为目前亚太地区最大、全球第二的广州国际会议展览中心选定了美国网捷网络的网络设备解决方案,并由IBM全球服务部提供整体的信息技术服务和咨询服务,首期工程成功构建了完整的信息网络系统,高性能BigIron 交换机系列、FastIron 边缘交换机系列和电信级城域网NetIron路由器系列将会展中心16个展厅和上万个展位起来,再加上用于服务器群组应用负载均衡的ServerIron系列交换机,以及能保证线速网络流量监控与安全的sFlow(RFC3176)技术,从而构成了从边缘到核心完整的解决方案,完全满足了会展中心对于网络设计在高性能,数据、语音和视频合一,安全性,可扩展性及易于管理等方面的要求。 深圳市新建成的IP宽带城域网已单独分配给2003年高交会展馆100兆带宽,将信息高速公路铺到了每个展台,并将使高交会馆上网速度比去年提升近50倍,并使各种高新网络信息展示成为可能,广大参展商和参观者通过IP城域网真正体验高速网上冲浪的乐趣。 2、利用网络技术为展会组织者服务 会展组织者企业首先利用网络技术实现办公和管理上的信息化,实现企业办公和经营管理的各种信息、数据、指令的发布、传送、查询、控制、保存的计算机网络化;其次运用于会展的运作、营销和功能拓展,展馆信息、展会信息、参展商信息、采购商信息、招展过程和围绕展会个企业相互讲的信息沟通都可以通过网络实现。高效、充实、开放的信息平台不仅有助于提高展览公司、展会的知名度、促进营销,还将为参加展会的企业创造新的价值。依托网络信息技术发展起来的展会,由于其招展的便捷、高效、互动、覆盖面广、能够为参加展会的企业创造新的价值,因而有可能迅速做强做大,使会展业进入良性循环的轨道。 展会前:建设展会的互联网商务平台,发布展会信息,有效利用网络优势进行展会推广、展会招商、展位预定、服务合作、服务预定、参展商信息发布、网上观众预定、网上调研等,建立包含多功能的大型数据库,采用三层结构的应用管理,展会后台简单的操作页面进行管理维护。 展会中:展会现场新闻报道、信息发布,展会现场图片直播、摄像直播,展会现场观众登记统计分析、观众条码识别胸卡制作、观众信息识别管理,参展商、观众统计信息发布。 展会后:对数据库展会信息资源整理、展会信息资源数据库提交、展会信息资源详细统计分析、展会成效成本统计分析、网上展会系统管理。 电子名片制作:会展组织者为参展商和参观者特制电子参展证,通常用磁卡或带条形码的材料制作。在签发该证前,会展组织者要求参展商或参观者输入个人资料,包括公司名称、联络办法、本人职衔、公司性质和业务范围等,然后把这些资料存入卡中。有了电子名片,展览会甚至不用花人力来看守大门,可以像地下铁路入口那样实行电子化管理,从而准确记录入场人数。 3、利用网络技术为参展企业服务 展会前:展会查询、展会比较、展位预定、服务查询预定。 展会中:现场报道、展台摄像、网上展会、网上企业路演。 展会后:网上展示、展台布置、展品特效、在线交易。 网上报名:可以让出席者在网上填写申请表,在网上浏览会议详情,自动统计出席者人数,自动监控财务交易。运用网上报名数据库的一个最大的优点是能将所有报名资料都汇总在一起,使会展组织者拥有一个不断更新而准确的报告。 住宿安排:展会组织者还应该引导展会参加者在网上预定旅店,可以把免费团体住宿安排应用软件、网上预定工具和报名数据库结合起来使用,把所有住宿安排信息都储存在一个在线数据库中,及时监控住宿安排情况,并可以提前几个月或几个星期根据定房情况的变化及时调整住房安排结构。 旅行:让会展参加者在网上做旅行安排、网上预定机票,或是与网上报名和网上预定房间系统相结合。最新的选址和RFP工具添加了为参加小型会议而及时预定房间和会议地点的相关内容。 电子名片使用:参展商可以自由选择租用组委会会提供的电子名片读取设备,将设备到自己的电脑上就可以开始使用。买家需要把名片给参展商时,只需要把存有自己资料的入场证在读取设备上划过,所有资料就会在眨眼间被传输到参展商的电脑里。参展商还可以把双方谈话的要点记录在相应备注栏里,做到十分有条理地管理买家资料。 网上会议服务范围:给任何地点、任何人作讲演;在线软件、产品演示说明;可以让会议中任何人观看、编辑发言人的各种电子文档;向所有与会者播放发言人计算机里的多种媒体文件;发言人带领其他与会者共同浏览网页;发言人计算机里的任何应用程序可共享,对方可以进行各种操作;使用桌面控制功能进行远程技术支持;视频功能使会议更人性化;VOIP语音功能可以节约大量的电话费用;以上所有功能都是实时、交互的,会议中的任何人都可以同样实现。 网络营销:网络营销必须考虑企业的外部环境和内部情况。外部宏观环境包括网民人数、在线交易额、互联网技术状况、互联网法律的完善程度、政府对待互联网的态度等。企业内部情况包括产品、资金、人才等。产品是最重要的考虑因素。对于软件和书籍、影视类可以通过数字形式传播的产品,企业应该努力用信息流来替代物流。对于服务类和个性化、贵重产品,不能或者不适合通过物流配送体系来完成物流,可借助互联网进行营销传播,用传统营销的分销渠道和零售终端最终达成交易。 四、网上会展的经济社会作用 网上会展可以丰富各地信息港的有价值信息,吸引大量企业主动上网并进行信息的撮合和交易,提升电信运营商在中国经济建设中的重要地位。 1、网上会展将丰富各地信息港的有价值信息 网上会展最大的特点是依托在各地运营机构和合作伙伴的信息平台或者企业上网站点来展示。网上会展中的展会、展商、展品等所有信息都经过组委会、电信运营商的严格审核,以保证网络信息的真实性,有利于企业放心地选择展会、展商和展品。网上会展信息的真实和有价值信息也增强了参与站点的信息价值性,增强这些站点在本地或本行业品牌影响力。 2、网上会展可以吸引大量企业主动上网并进行信息的撮合和交易 网上会展在一段时间里的高速集中的宣传和造势,不仅促使实地参展的企业同时参加网交会,亦带动大量因受时间和空间限制的外地企业参加网络展。使得网上会展线上线下都被企业关注,吸引企业上 网进行产品供求信息的交换甚至进行商品交易。 3、提升电信运营商在中国经济建设中的重要地位 中国加入WTO后,会展经济在国民经济领域的重要作用日益显著。会展业作为一种高智商的服务行业和信息技术几乎有着天然的必然联系。网上会展完全符合会展经济的发展趋势,将是电信运营商参与中国会展经济运作的重要手段,也是政府上网工程和企业上网工程的最佳结合点。 电信运营商是网上会展价值链的基础,依托网交会体系能够面向广大参展企业和参会会员提供网上展会的一揽子服务。电信运营商在对参展、参会企业服务的过程中,获得收益。电信运营商的定位将是平台和网络提供者,采取有效的运营机制鼓励和发展社会IT公司、网站网页制作公司作为代理发展网交会的各项业务。 电信运营商的经济收益来自收益和潜在收益两部分。收益:一是参展企业网上展平台租用费和参会企业会员费。二是参展企业网上展品的制作业务,包括三维、视频、FLASH、专题网站等特展制作。三是全国网交会网络导航、广告宣传及网络营销推广服务。四是宽带视频会议系统等出租业务。五是为网交会系统平台展商提供数据增值服务和电子商务,其中包括企业邮局及邮件列表、无线上网和短信服务、语音应答、在线洽谈、在线统计、在线调查、安全认证、网上支付、网上贸易撮合等。间收益:如同传统展会一样,通过网交会平台这个虚拟的网上会展平台,大量现实和潜在的行业参展商及参观者进行商贸互动,对于展开电信业务的营销培训推广,拉动电信入业务、IDC业务和丰富的电子商务业务提供了广阔的应用空间。 网上会展同样存在着1∶10的拉动效应,网上会展1元钱的收益,将带来电信入业务、IDC业务、电子商务业务、宽带视讯业务、网页制作、IP电话会议、视频点播、彩信、3G等数据业务等10元钱的拉动效应,进军网上会展将有利于电信业正在进行的语音业务向数据业务的战略性转变。 4、网上会展是扭转行业、企业网络应用观念的有效手段 网络经济在网络泡沫消退后步入了务实阶段,扭转企业的网络观念将是影响到企业信息化发展的关键一步。网上会展并不提倡上网能够解决企业的一切问题,而是主攻企业的供求信息的关注度,让企业能够得到真实有效的产品信息,并通过互联共享机制,让企业发布的信息最广泛的为人所知,让企业感觉到网络所能带来的实际利益,才能扭转企业的互联网应用观念,引导企业深入到网络经济之中。 5、“网上会展”成为会展业应对突发危机的最佳选择 会展组织者以展会为媒体,为展商与贸易商提供有效的交流平台,客观上是以集群与时空结合的方式,为行为主体间创造交流的环境。在突发危机发生的情况下,这种方式受到了挑战。“网上会展”以其高效、灵敏的特点,表现出特殊的应用价值,实现了人们之间在不触的情况下,照常经济交往与贸易活动,有效阻断了传统展览密集人群,集合传染源的途径。在SARS期间,以“非触经济”形态出现的“网上会展”高效运转,发挥着具有历史意义的重要作用,成为我国会展业应对突发危机的最佳选择。 五、网上会展中的安全问题及对策 会展网站的网络与Internet相连,构成开放性网络,也就必然存在着安全问题。网络的安全性及信息的真实性和准确性,使得很多企业不敢涉足的隐忧。但即使是面对面的交易活动,照样有信誉失衡或被人欺诈的风险。尽管电子商务、网络虚拟空间尚有诸多的不完善,但这些问题都是技术性的,通过技术保密,以及多渠道地了解对方的信用信息,也完全可以避免不该发生的失误。必须剖析网上会展的安全需求,寻求网上会展的安全对策。 1、网上会展的安全威胁 网上会展的实施依赖于现代计算机信息技术,由于计算机网络信息的全球性、开放性、扩散性、共享性和动态性等特性,它在存储、处理、使用和传输上存在严重脆弱性,易于受计算机病毒的感染,数据被干扰、遗漏、丢失,甚至被人为泄露、篡改、窃取、冒充、滥用和破坏,从而受到多种安全威胁。 会展网站信息系统的安全风险来源于其社会环境的威胁、技术坏境的脆弱和物理自然环境的恶化。社会环境指各种社会组织机构和人员。技术环境指会展网站信息系统的技术因素,包括:硬件设施、软件设施、网络结构、局域网、信息采集、信息处理、信息传输、信息存储、安全人员管理和技术安全管理等。物理自然环境是指来自物理基础支持能力和自然环境的变化。 (1)社会环境的威胁 社会环境的威胁方主体可能是个人,也可能是竞争对手组织,具体攻击手段主要有:内部窃密和破坏、非法访问、删改、伪造、重演、抵赖、中断与摧毁等。 (2)技术环境的脆弱性 技术环境的脆弱性来源于会展信息系统技术上和管理上的缺陷。包括:网络设备的安全性、操作系统的安全性、协议软件的安全性、系统安全监视乏力、对病毒和黑客侵袭的抵抗不足、应用服务的安全性等。 (3)物理自然环境恶化 物理自然环境恶化是指网上会展信息系统物理基础的支持能力下降或消失,包括电力供应不足或中断、电压波动、静电或强磁场的影响,以及自然灾害的发生等。 2、网上会展的安全对策 会展网站信息网络安全防范包含以下内容:访问控制、识别和鉴别、完整性控制、防火墙系统、密码技术、审计和恢复、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等等。 (1)访问控制 对用户访问会展网站信息系统的权限或能力的限制,包括限制进入物理区域(出入控制)和限制使用会展网站信息系统资源(存取控制)。 (2)识别和鉴别 针对攻击,网上会展电子商务安全系统至少应提供识别与鉴别机制。识别指分配给每个用户一个ID来代表用户和进程。鉴别是系统根据用户的私有信息来确定用户的真实性,防止欺骗。识别的方法如PID、UID。鉴别最常用的简单方法如口令机制,利用生物技术,根据人的指纹、视网膜等生物信息来提高鉴别强度。现在经常使用的还有数字签名的鉴别方法。 口令机制:口令有时可能被攻破,对抗口令攻击可采取加密、签名和令牌等办法,但最重要的是口令管理。 数字签名:数字签名机制提供了一种鉴别方法,以解决伪造、篡改、冒充和抵赖等问题。数字签名采用一定的数据交换协议,使信息发送方不能否认他发送过数据这一事实,收方能够鉴别发送方所宣称的身份。数字签名一般采用非对称加密技术,发送者通过对整个明文进行某种变换,得到一个值,作为核实签名。收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。数字签名不同于手写签字,手写签字反映某人的个性特征,它是不变的,而数字签名随文本的变化而变化;手写签字是附加在文本之后的,与文本信息是分离的,而数字签名与文本信息是不可分割的。数字签名技术涉及到密钥问题。根据对密钥的管理方式不同,数字签名可分为公开密钥加密的数字签名和常规加密技术的数字签名。 (3)完整性控制 必须采取数据完整性控制技术来识别会展网络信息有效数据的一部分或全部信息是否被篡改,根据数据完整性控制范围的不同,可采用两类技术,即报文认证和通信完整性控制。 (4)防火墙系统 会展信息网络中的防火墙能够保护内部网络免受外界攻击。 防火墙的技术核心是防火墙控制网路传输的技术,如链路级网关、应用层网关、状态监控包封过滤。 (5)密码技术 密码算法是一些公式、法则或程序,算法中的可变参数是密钥。密码算法相对稳定,视为常量,而密钥是变量。现代密码学的一个基本原则是“一切秘密寓于密钥之中”。 (6)审计和恢复 审计是指对用户和程序使用会展网络信息资源的情况进行记录和审查,以保证会展网站信息系统的安全,帮助查清事故原因。恢复是指当会展网站信息系统受到损害时,将系统恢复到可受状态的安全机制,如建立备份系统等。 (7)计算机病毒防护 反病毒技术包括预防病毒、检测病毒和消毒三种技术。反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。网络反病毒技术的具体实现方法包括对网络服务器中的文件频繁地进行扫描和检测,设置功能强大的反病毒防火墙,对网络目录及文件设置访问权限等。 (8)操作系统安全 操作系统安全是指从系统设计、实现和使用等各个阶段都遵循一套完整的安全策略。包括存储器寻址保护、访问控制、认证机制。 (9)数据库系统安全 网上会展电子商务数据库系统的安全需求应包括:物理完整性,政务信息数据能够免于遭受物理破坏(如火灾、水灾、电压波动、掉电等);逻辑完整性,能够保持会展信息数据库的结构完整,比如对某字段的修改不至于影响其他字段;元素完整性,包含在每个元素中的数据是准确的;可用性,指用户通常情况下,可访问会展信息数据库和所有授权访问的数据;用户认证,保证每个用户能够被正确地识别,免遭非法用户的入侵;可审计性,能够追踪到谁访问过会展网站信息数据库。 文章出处:展馆网www.zhanguan.cc
网路岗7.03.35官方原版破解
本软件来源于网络,本人搜集,如影响您的权益,请通知删除。 网络岗 旁路监控   如果用户以硬件路由器(或FireWall)为出口上Internet,为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段:   1.在网关处添加共享式HUB(集线器),Internet出口网络线和监控机网络线均入HUB。   2.在主交换机网口上设置镜像端口(一个镜像端口,一个被镜像端口);监控机网络线入镜像端口。   上面实现的监控就是所谓的“旁路监控”。   打个更形象的比喻:交警为监视公路上汽车行驶状况,为不影响交通,仅在路边配置一台监控设备,同步监视路上的每辆车,并不需要在路中间设卡检查车辆,这种方式相当与“旁路监控”。如果设卡监控,那就应该属于“非旁路监控” 优点:  对网速影响甚小,如果不考虑封堵,可实现电信级的网络监视;所以网络流量庞大且封包需求很少时,必须采用该监控方式。 缺点:  1、封堵TCP时采用发送带RST标记的IP包,以破坏TCP;系统控制不好的话,则可能导致发送的封包太多,影响网络。  2、不能封堵UDP通讯包。  3、如果监控机处理速度慢,而流量太大,则可能导致分析包丢失。 非旁路监控(拦截式)   1.网路岗NAT  2.网路岗虚拟网桥(单网卡)  3.网路岗网桥(双网卡)     防火墙产品是单纯采用“拦截式”技术的典型网络产品,所有进出FireWall数据包,都必须经过筛选,符合过滤过滤条件的数据包,将被抛弃。  因此,防火墙的处理器性能和筛选规则的复杂程度,将影响到防火墙对数据包的处理速度,进而影响到网络速度。 基于网卡、基于帐户、基于IP   所有的网络监控产品,都必须面对这个问题:在对具体电脑进行监控时,以什么信息来判断所捕获的数据包是由哪台机器发出的?   “网路岗”提供了多种选项给客户选择,当用户网络是单网段,也就是说没有划分不同的IP段,我们建议客户选用“基于网卡”的方式,也就是说以“网卡地址MAC”来作为判断数据包的依据。  相对IP地址来讲,网卡地址一般是不会改变的,而且是全球唯一的。针对单一网段内机器而言,网卡地址是网络寻址的重要依据,一旦网卡地址重复或不确定,必然造成网络通讯的紊乱或不稳定。   针对多网段(划分VLAN)的情况,情况比较复杂,当数据包从某个VLAN转到其他VLAN时候,数据包中的网卡地址会发生改变,所以,我们捕获的网卡地址是发生变化了的,这时,如果系统对该MAC不加处理而简单使用,必然导致监控错乱。  但是,这种情况,“网路岗”已经充分考虑了其应对策略,我们的客户依然可以选择“基于网卡”的方式,正如单一网段环境一样。   当然,如果客户网络庞大,IP地址相对固定,从操作的简单性方面考虑,选择“基于IP”地址来监控也是可以的,用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣,那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。   最后,我们要谈谈“基于帐户”。当客户机通过浏览器上网时候,会出现一个输入用户名和密码的画面,此时,只有当客户拥有了自己的用户名和密码,才拥有了上网的权限,这就是“基于帐户”模式的具体表现。   “基于帐户”的方式从理论上讲,是完美的,因为该方式下,与被监控电脑的网卡地址和IP地址均无关系,而只需要根据用户帐号来判断监控对象。但其缺点也非常明显,因为客户机每次上网时候,都必须输入帐号及其对应的密码,给客户机上网带来麻烦,而且因为密码容易被忘记,网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看,“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。   网桥   先解释一下通常意义下的“网桥”概念。   网桥工作在数据链路层,将两个局域网(LAN)连起来,根据MAC地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据网络地址如IP地址进行转发)。它可以有效地联两个LAN,使本地通信限制在本网段内,并转发相应的信号至另一网段,网桥通常用于联数量不多的、同一类型的网段。  网桥通常有透明网桥和源路由选择网桥两大类。  1、透明网桥  简单的讲,使用这种网桥,不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。只须插入电缆就可以,现有LAN的运行完全不受网桥的任何影响。  2、源路由选择网桥  源路由选择的核心思想是假定每个帧的发送者都知道收者是否在同一局域网(LAN)上。当发送一帧到另外的网段时,源机器将目的地址的高位设置成1作为标记。另外,它还在帧头加进此帧应走的实际路径。  下面图示的是在WinXP和Win2003系统下创建“网桥”:(Win2k下无此功能) 同时选中两块网卡,点Mouse右键,会弹出上图中的菜单。   网桥一旦建立完成,其网卡原配的IP地址将消失,网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了? 不是,用户仍然可以在上面显示的“网络桥”上配置另外的IP。   透明网桥示意图: 左右两边的机器可以相互访问,不用做任何额外的配置,就象两台交换机之间入新的交换机设备一样。 启用《网路岗》“网络桥”   网路岗也提供了“网络桥”功能,可以在WinXP/2K/2003上使用,应用更加广泛,如用户需要较严格的上网过滤,请启用网路岗网桥功能,记住:启用网路岗网桥之前,请确认系统自带的“网络桥”已经删除. 虚拟网桥   “虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同,仅仅因为其通讯过程类似“网桥”罢了。   通常意义上的“网桥”一般需要两块网卡来实现, 而这里所谓的“虚拟网桥”只需要一块网卡。   下面的网络结构是非常常见的: 机器:192.168.0.2发出的Internet数据包,发向网关192.168.0.1   以下是“网路岗”启用“虚拟网桥”功能后,数据包走向图:   当“网路岗”主机启用“虚拟网桥”功能后,从客户机192.168.0.2发向Internet的数据包,先送到“网路岗”主机,然后由“网路岗”主机转发到网关192.168.0.1,反之亦然。   不难看出,要达到一台机器监控整个网络的目的,只需要启用“虚拟网桥”功能就可以了,这种监控技术可以在纯交换机环境下实现,不需要添加HUB,也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。  而实际使用中,该技术的缺点非常明显,虽然“网路岗”已经加入该技术,但有必要向客户交代其中问题所在。 缺点1:客户机盲目安装.   既然装在任何一台电脑就可以实现对整个网络的监控,员工或学生是否会随意下载、随意安装、随意监控?这是完全可能的,因为毕竟实现监控的门槛太低。不过,当同时多台机器启用这类监控方式后,网络会出现紊乱状况,很可能导致无法上网。 缺点2:很容易逃避监控   所有采用类似监控技术的产品,均需要发送ARP欺骗包,以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包,使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。   因此,在单网段环境下,我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段,那么请注意:“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品),并记录在历史记录中。 如何启用“虚拟网桥”? 1、选中“非旁路监控”选项 2、设置“虚拟网桥”相关选项 3、选中并启用“虚拟网桥”   共享上网NAT   “网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用专用地址范围,例如 10.0.x.x、192.168.x.x、172.x.x.x)共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 共享”及许多 Internet 网关设备都使用 NAT,尤其是在通过 DSL 或电缆调制解调器宽带网的情况下。  NAT 对于解决 IPv4 地址耗费问题(在 IPv6 部署中却没必要)尽管成效及时,但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重,且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。  除了减少所需的 IPv4 地址外,由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯,因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同,但它确实有利于安全。 跨VLAN/单网段/多网段   VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网", VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。  VLAN这一新兴技术主要应用于交换机路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。    VLAN在交换机上的实现方法,可以大致划分为六类:  1. 基于端口的VLAN(最常应用的一种VLAN划分方法)  2. 基于MAC地址的VLAN  3. 基于网络层协议的VLAN  4. 根据IP组播的VLAN   5. 按策略划分的VLAN  6. 按用户定义、非用户授权划分的VLAN   在监控产品中,所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。   单网段:整个局域网只有一个IP段,如:192.168.0.x (255.255.255.0)   多网段:整个局域网有多个不同IP段,如:192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0) 镜像端口/监控端口/被监控端口   在一些交换机中,我们可以通过对交换机的配置来实现将某个端口上的数据包,拷贝一份到另外一个端口上,这个过程就是“端口镜像”,如下图:   端口1 为镜像端口,端口2 为被镜像端口;因为通过端口1可以看到端口2的流量,所以,我们也称端口1为监控端口,而端口2为被监控端口。   市面上,绝大多数交换机(如cisco产品)的某个口被设置为镜像端口后,到该端口的主机将无法发送数据包到网内其他机器,变成了“单向受”模式;这类情况,并不利于监控,因为系统无发发送封包到客户机,而导致无法对客户机进行控制;不过“网路岗”针对此类情况有专门的解决手段,如碰到此类情况,用户可以咨询我公司技术人员。   不过仍然有部分交换机除外,比如:TPLink-SF2008 或TPLink-SF2008(web),因为其价格便宜,功能实用,因此我们一般建议客户购买此款交换机进行监控。 汇聚MAC   在多VLan环境下,假如 Vlan-1最靠近因特网,通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网,那么,其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时,其数据包中原来的网卡地址通常会改变,改变后的地址就是我们这里提到的“汇聚MAC”。  建议用“工具”菜单下的“ip包分析工具”抓包,如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。   MAC采集点   见安装包中程序MacSetup.exe,网卡地址“采集”程序,在跨VLAN环境、且选择“基于网卡MAC”的方式监控时才用,一般可在每个VLAN中安装一个,不安装也可以,安装“MAC采集点”程序是为了获取更及时、准确、全面的客户机网卡地址情况,且可有效进行IP-MAC绑定。    尽管客户不安装该程序,系统仍然可以跨VLAN获取机器MAC信息,所以本程序并非必须安装。   安装方法极其简单,只需要在选定的机器上运行此程序即可,不用任何配置.
路由器&交换机&防火墙&无线AP基础理论知识总结
路由器&交换机&防火墙&无线AP基础理论知识总结 Ethernet口不能配IP地址,需要划分VLAN不同网段还需要加trunk。 配完命令需要save 保存到内存中,导出保存配置是存在硬盘中。 1.路由器 原理:网关设备,工作在OSI网络层对不同的网络之间的数据包进行存储、分组转发处理,其主要就是在不同的逻辑分开网络。在网络通信中,路由器具有判断网络地址以及选择IP路径...
网络设计与维护

3,581

社区成员

4,630

社区内容

发帖
与我相关
我的任务
社区描述
硬件使用 网络设计与维护
社区管理员
  • 网络设计与维护社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章